Novi Zakon o kibernetičkoj sigurnosti stupio je na snagu 15. veljače ove godine. Riječ je o implementaciji direktive Network and Information Security (NIS) 2 Europske unije, kojom je zamijenjena prethodna, prilično štura inačica ograničenog opsega.

Cilj direktive NIS2 je osigurati jednaku razinu kibernetičke sigurnosti u svim državama članicama Unije.

Novim je zakonom u Hrvatskoj značajno proširen opseg obveznika, pa tako sad obuhvaća ukupno 19 sektora, podijeljenih po stupnju rizičnosti. Tvrtke i organizacije imaju na raspolaganju 18 mjeseci za usklađivanje poslovanja s njegovim odredbama.

Što sve donosi i što bi to moglo značiti za domaće tvrtke? Pitali smo nekoliko stručnjaka za mišljenje.

Što se mijenja?

Glavne promjene uključuju, između ostalog, analizu sigurnosnih rizika, strože zahtjeve za upravljanje i veće kazne za kršenje sigurnosnih propisa (mogu iznositi od 10 tisuća do 10 milijuna eura ili od 0,5 do dva posto ukupnog godišnjeg prometa tvrtke ostvarenog u prethodnoj financijskoj godini) te obvezu izvješćivanja o incidentima.

Ove promjene najviše će utjecati na poslovanje subjekata koji obrađuju osjetljive informacije od nacionalnog značenja, kao što su energetski, financijski, prometni i javni sektor.

Poslovne organizacije bit će prisiljene uložiti dodatne resurse u usklađivanje s novim zahtjevima zakona, što može rezultirati povećanim troškovima. S druge strane, to bi trebalo podići razinu povjerenja korisnika i smanjiti rizik od napada.

Ipak, najveća promjena je dramatično povećan broj pravnih subjekata zahvaćenih zakonom.

Do sada je to bio razmjerno malen broj državnih ustanova, telekomi, financijske institucije i energetika. Sada zahvaća praktički svaku srednju i veliku tvrtku, sve komunalne tvrtke, logistiku, farmaceutiku, zdravstvo, pa čak i obrazovne i znanstvene ustanove.

'Ne znamo broj subjekata, ali ako radimo usporedbu s Češkom, koja je prošla sličnu tranziciju, kod njih se broj subjekata koji potpadaju pod NIS2 po javno objavljenim podacima povećao s otprilike 400 na oko 6000, što je povećanje od impresivnih dvanaest puta. Pretpostavljam da je i kod nas vrlo slična situacija', rekao je tportalu informatički stručnjak Marko Rakar.

Zakon također propisuje niz obveza koje pravni subjekti moraju ispuniti. To će često značiti vrlo konkretne intervencije na računalnoj infrastrukturi, ne samo promjenu konfiguracije, već i dodatne investicije u nabavku nove opreme ili zamjenu postojeće, upozorio je Rakar.

Ključna je analiza stanja

Za poslovne subjekte koji su dosad bili u opsegu primjene direktive NIS i dosadašnjeg Zakona o kibernetičkoj sigurnosti neće se puno toga promijeniti.

Najviše posla imat će oni koji dosad nisu bili obuhvaćeni tom legislativom, kao i oni koji nisu ništa radili po pitanju informacijske sigurnosti, ocijenila je Antonija Vojnović, direktorica Odjela za upravljanje, rizik i usklađenost u tvrtki Span.

Obrana od kibernetičkih napada više se ne odnosi na sam poslovni subjekt, već veliku ulogu ima i dobavljački lanac.

Stoga će se Zakon o kibernetičkoj sigurnosti preliti i na dobavljače izvan Unije zbog novih ugovornih obveza koje će morati biti zadovoljene da bi mogli nastaviti poslovati.

Ne postoji unificirano rješenje koje će biti moguće kupiti i riješiti sve brige, već će svaka tvrtka i organizacija morati pronaći ono što najbolje odgovara njenim potrebama i mogućnostima.

'Ključno je sustavno analizirati trenutno stanje informacijske sigurnosti, što prije svega podrazumijeva procese upravljanja rizicima. Bit će potrebno provjeriti uspostavljene procese zaštite podataka i utvrditi njihovu zrelost', upozorila je Vojnović.

Gdje ćemo naći stručnjake?

Najveći izazovi u provedbi zakona uključuju pronalaženje i zadržavanje dovoljnog broja stručnjaka za kibernetičku sigurnost, osiguranje potrebnih znanja i vještina zaposlenika, troškove implementacije novih sigurnosnih standarda, složenost zakona te nedostatak svijesti o kibernetičkoj sigurnosti.

Izazov može predstavljati i potreba za kontinuiranom nadogradnjom sigurnosnih mjera, sukladno evoluciji kibernetičkih prijetnji, ocijenio je Zlatan Morić, voditelj Katedre za kibernetičku sigurnost Sveučilišta Algebra. Manjak stručnjaka osjetit će se razmjerno brzo.

Kako bi Hrvatska pravovremeno dobila dovoljan broj stručnjaka za provedbu, potrebno je ulagati u obrazovanje te suradnju između akademske zajednice i industrije, kao i kontinuirano pratiti tržišta rada da bi se osigurala kvalitetna radna snaga.

Bit će također potrebno osigurati kvalitetne studijske programe na sveučilištima, ali i stručne specijalističke edukacije.

Osim toga, važno je poticati istraživanje i razvoj te suradnju između akademske zajednice, industrije i javnog sektora da bi se osigurala relevantna i primjenjiva znanja.

Pretjerano proširenje

Zakon je svakako dobrodošao jer smo na uvjerljivom europskom dnu po investiranju u računalnu sigurnost, što nas čini laganom metom, istaknuo je Rakar. Kao primjer navodi nedavan računalni napad na HANFA-u, kojim su izbrisani kompletna infrastruktura i godinama skupljani podaci.

Slično mišljenje ima Vojnović te smatra da se većina država Unije dosad nije previše brinula o kibernetičkoj sigurnosti i kazne su bile preniske. Zbog toga su poslovni subjekti u Uniji sve češće postajali metom napada, dovodeći u pitanje i nacionalnu sigurnost.

Morić ističe da zakon donosi dobra rješenja kad je riječ o postavljanju strožih standarda za zaštitu sustava, povećanju kazni za kršenje sigurnosnih propisa te zahtjevima za izvješćivanje o incidentima, što poboljšava sigurnost i potiče usklađivanje i transparentnost.

Dodatno, propisane su jasne smjernice za zaštitu podataka, što može olakšati implementaciju mjera sigurnosti. No tportalovi sugovornici upozoravaju da je primjena bespotrebno proširena na brojne subjekte koji nisu predviđeni direktivom NIS2, poput sustava obrazovanja.

Rakar je uvjeren da je najslabija karika to što su koordinacija i upravljanje računalnom sigurnošću delegirani Sigurnosno-obavještajnoj agenciji (SOA), što je značajan odmak od europske prakse, ali i suprotno načelima zaštite kibernetičke sigurnosti. 'Po svojem ustroju, zakonskim ovlastima i korporativnoj kulturi, SOA nema ni sklonosti ni iskustva za bavljenje kibernetičkom sigurnošću', ocijenio je Rakar.

To, naravno, ne znači da oni nisu iznimno bitna komponenta u sigurnosnom sustavu zemlje, pa tako i ovom kibernetičkom. Ali, uvjeren je Rakar, pogrešno je vjerovati da imaju znanje ili kapacitete da svoje djelovanje pretvore u sasvim javno i prema toliko velikom broju subjekata, novih obveznika zakona.

Ipak, Rakar smatra da je bolje imati i ovakav sustav, makar hendikepiran u startu, jer nam to daje priliku da u primjeni uočimo pogreške i popravimo ih u nekoj od budućih promjena zakona.

Ne trebamo biti tromi, niti raditi reda radi

Očekuje se da će tvrtke i organizacije biti trome kad je riječ o prepoznavanju važnosti kibernetičke sigurnosti, zbog čega bi mogle sporo provoditi konkretne investicije u edukaciju i infrastrukturu koju svakodnevno koriste.

S druge strane, provedba bi mogla biti financijski izazovna za male i srednje tvrtke, a poslovni subjekti općenito će zbog nje biti opterećeni većom administracijom.

Poseban problem je opasnost da obveze koje proizlaze iz zakona budu pretvorene u nekoliko predložaka ispunjenih tek reda radi, a istovremeno neće ništa biti konkretno učinjeno za zaštitu računalnih resursa, infrastrukture i podataka.

'Poanta nije beskonačno pisanje dokumentacije niti implementacija svih tehničkih rješenja na tržištu', naglasila je Vojnović. Tko se dosad nije time bavio, neće moći naći rješenje preko noći. Trebat će krenuti s analizom sustava, s ciljem proučavanja konteksta poslovnog subjekta.

Morat će pronaći odgovore na pitanja što radi, s kim radi, što koristi od imovine i koji su rizici povezani s time, gdje su mu ranjivosti i slabe karike, što mu može zaprijetiti. Pritom treba imati na umu to da je pitanje vremena u kojem će postati metom napada.

'Dodatno, pregledajte ugovore s vanjskim suradnicima, dobavljačima i korisnicima. To su jako dobri izvori informacija za provedbu identifikacije i procjene rizika. Pokušajte identificirati koji su vam ključni poslovni procesi i aktivnosti te što je bitno da ostane na životu kako biste održali poslovanje', preporučila je Vojnović.

'Prostora za napredak je i dalje puno'

Da danas ne postoji organizacija koja nije izložena kibernetičkim prijetnjama upozorava i Goran Car, član Uprave i glavni direktor Combisa, jednog od lidera u kibernetičkoj sigurnosti u Hrvatskoj (dod. ur.). Premda društvo, kaže Car, polako postaje svjesnije toga te pridaje veću pozornost kibernetičkoj sigurnosti, prostora za napredak je i dalje puno.

'NIS2 direktiva predstavlja važan korak prema jačanju kibernetičke sigurnosti, a u hrvatsko zakonodavstvo je implementirana kroz Zakon o kibernetičkoj sigurnosti. Ovaj Zakon obvezuje tvrtke i organizacije na implementaciju odgovarajućih mjera, procedura i tehnika za smanjenje rizika u IT okruženjima te za minimiziranje utjecaja sigurnosnih incidenata na poslovanje odnosno na usluge koje te tvrtke pružaju.

Time bi razina kibernetičke sigurnosti trebala značajno porasti, poslovanje postati sigurnije, a gospodarstvo otpornije. Zato Zakon o kibernetičkoj sigurnosti smatramo vrlo važnim', ističe Car. Direktiva, odnosno Zakon koji iz direktive proizlazi, između ostalog, uređuje niz postupaka i mjera koje subjekti moraju provesti u svrhu postizanja visoke razine kibernetičke sigurnosti.

'Zakonom su predviđeni kriteriji za kategorizaciju obveznika direktive, čime će biti obuhvaćene gotovo sve veće tvrtke i organizacije. Međutim, Zakonom je predviđena i sigurnost lanaca opskrbe, što znači da su obveznici Zakona i sve male tvrtke i organizacije koje su dio dobavljačkog lanca kategoriziranih subjekata. Pojednostavljeno rečeno, jedna mala tvrtka koja danas radi za neku veliku javnu tvrtku kategoriziranu kao kritičnu, to u budućnosti neće moći ako ne bude usklađena sa Zakonom o kibernetičkoj sigurnosti', navodi Car.

Također, Zakonom je predviđeno upravljanje i izvještavanje o sigurnosnim incidentima, izvještavanje o stanju kibernetičke sigurnosti itd. Kako bi osigurale uskladu sa Zakonom, tvrtke će morati implementirati različita sigurnosna rješenja, tehnologije i procese. Sve navedeno može predstavljati značajne financijske i organizacijske izazove za svaku organizaciju, a pogotovo za srednje i male tvrtke, napominje naš sugovornik.

'Međutim, praksa je do sada pokazala da je svaka investicija u sigurnost na kraju daleko manja od troškova kibernetičkog napada. I tu ne govorimo samo o izravnim troškovima kao što su otkupnine, gubici uslijed zastoja poslovanja i sl. Oni neizravni troškovi poput gubitka reputacije i povjerenja korisnika mogu biti višestruko veći. Neki to, nažalost, prekasno shvate.

No, investicija ne mora nužno biti pozamašna, rješenje se može kreirati i po mjeri korisnika tako da oni bez većih kapitalnih ulaganja dobiju sve što je potrebno kako bi se uskladili sa Zakonom o kibernetičkoj sigurnosti i nastavili se baviti onime u čemu su najbolji, svojim core businessom. Primjeri takvih rješenja su T-Business sigurnosna rješenja i Combis 30SEC upravljane sigurnosne usluge', zaključuje Car.